|
www.cbsi.com.br |
Artigo |
|
Aspectos relevantes na
seleção de um software para Análise e Gerenciamento de Riscos
Nilton
Stringasci Moreira, 14/Dez/2008
Apresentaremos alguns requisitos importantes e que devem ser observados no momento da seleção de um software para Análise e Gestão de Riscos.
Muitos são os requisitos apresentados, porém estes, não substituem a importância de se ter uma Metodologia.
Os requisitos aqui apresentados podem ser ampliados na medida em que se aumenta o nível de exigência e/ou metodologia adotada ou a ser adotada na empresa.
|
Requisitos |
Situação atual AT / AP / NA |
|
|
|
|
|
|
|
GERIS 7 |
|
|
Compatibilidade
com Normas |
|
|
|
Compatibilidade
dos controles sugeridos: NBR ISO/IEC 27001, NBR ISO/IEC 27002, etc. |
AT |
|
|
Permite
armazenar controles de qualquer norma/padrão em sua Base de Conhecimento |
AT |
|
|
Permite
a expansão da Base de Conhecimento |
AT |
|
|
|
|
|
|
Definição
do escopo da análise |
|
|
|
Permite
documentar o escopo da análise |
AT |
|
|
Permite
documentar os processos analisados |
AT |
|
|
Permite
documentar os ativos envolvidos de qualquer natureza |
AT |
|
|
Permite
o estabelecimento do nível de risco aceitável |
AT |
|
|
Permite
documentar os processos analisados |
AT |
|
|
|
|
|
|
Ativos |
|
|
|
Permite
cadastrar e gerenciar os ativos envolvidos |
AT |
|
|
Permite
informar/atribuir valores de importância dos ativos no processo analisado |
AT |
|
|
Permite
informar quem é o Gestor do ativo e sua localização |
AT |
|
|
Permite
informar quem é o custodiante do ativo |
AT |
|
|
Permite
informar o nível de sensibilidade do ativo |
AT |
|
|
|
|
|
|
Cálculo
do risco |
|
|
|
Utilizar
Metodologia Qualitativa |
AT |
|
|
Utiliza
Metodologia Quantitativa |
AT |
|
|
Possui
flexibilidade para uso de outras fórmulas de risco |
AT |
|
|
Possui
documentação do método de cálculo do risco |
AT |
|
|
|
|
|
|
Metodologia |
|
|
|
Documentação
que explique claramente a Metodologia utilizada |
AT |
|
|
Documentação
que explique a operação da ferramenta |
AT |
|
|
|
|
|
|
Base
de Conhecimento |
|
|
|
Possibilidade
de se criar/atualizar a base de dados de ameaças, vulnerabilidades, ativos e
controles |
AT |
|
|
Instruções
de como atualizar/ampliar a base de dados da ferramenta de ameaças,
vulnerabilidades, ativos, controles, etc... |
AT |
|
|
|
|
|
|
Coleta
de dados |
|
|
|
Disponibiliza
check-list para coleta de informações/entrevistas –
em tela e relatório |
AT |
|
|
Permite
que o próprio usuário responda as informações dos riscos relacionados com
seus ativos somente |
AT |
|
|
Permite
identificar riscos de processos, tecnologias e pessoas |
AT |
|
|
|
|
|
|
Tratamento
de riscos |
|
|
|
A
ferramenta proporciona visão para análise de custo X benefício das
alternativas de proteção |
AT |
|
|
A
ferramenta sugere controles/medidas de segurança para minimizar riscos |
AT |
|
|
A
ferramenta permite que se "registre" os controles de normas
utilizadas atualmente na empresa para se minimizar riscos |
AT |
|
|
|
|
|
|
Gerenciamento
dos Riscos |
|
|
|
Fornece
ou permite que sejam selecionadas recomendações para se minimizar os riscos
identificados |
AT |
|
|
Permite
que se tenha uma visão geral das pendências de implantação de controles |
AT |
|
|
Permite
que seja possível visualizar "o novo cenário de risco"
antecipado com a implantação dos controles sugeridos |
AT |
|
|
Permite
visualizar histórico mostrando análises anteriores |
AT |
|
|
Permite
comparar os cenários dos riscos dos processos de análises anteriores para
fins de comparação |
AT |
|
|
Permite
visualizar que controles estão implantados frente às ameaças identificadas |
AT |
|
|
Permite
elaborar e monitorar indicadores de eficácia dos controles |
AT |
|
|
Permite
testar os controles implantados |
AT |
|
|
Possibilita
realizar cobrança por e-mail das ações pendentes |
AT |
|
|
Permite
uma visão sintética das pendências |
AT |
|
|
|
|
|
|
Risco
Residual |
|
|
|
Permite
visão do risco residual geral |
AT |
|
|
Permite
visão do risco residual por processo |
AT |
|
|
Permite
visão do risco residual por ativo |
AT |
|
|
|
|
|
|
Relatórios
e Gráficos |
|
|
|
Gráficos
com os riscos mais significativos |
AT |
|
|
Gráficos
demonstrando o risco por área e processo de negócio |
AT |
|
|
Relatórios
Gerenciais (sintéticos) |
AT |
|
|
Relatórios
Gerenciais (visão geral do risco por processo) |
AT |
|
|
Relatórios
operacionais (técnicos – analíticos) - Planos de ação |
AT |
|
|
Relatório
para Gerenciamento dos Riscos |
AT |
|
|
Mapa
geral dos riscos |
AT |
|
|
Mapa
geral dos riscos com riscos residuais |
AT |
|
|
|
|
|
|
Características
gerais |
|
|
|
A ferramenta possui help on-line |
AT |
|
|
A
feramenta possui manual |
AT |
|
|
|
|
|
|
Treinamento
e apoio Técnico |
|
|
|
Implantação
e configuração por conta do fornecedor |
AT |
|
|
Fornece
treinamento de operação da ferramenta |
AT |
|
|
Fornece
treinamento de operação da ferramenta presencial in-company |
AT |
|
|
Possui
contrato com cláusulas de atualização da ferramenta |
AT |
|
|
Possui
video-aula |
AT |
|
|
|
|
|
|
Comercialização
|
|
|
|
Mono-usário |
AT |
|
|
Multi-usuário |
AT |
|
|
|
|
|
|
Segurança
da Ferramenta |
|
|
|
Segurança
no acesso aos dados ou a base de dados direta ou indiretamente |
AT |
|
|
Log´s das operações mais
críticas |
AT |
|
Legenda: AT: atende totalmente o requisito AP: atende parcialmente o requisito NA: não atende ao requisito
Nilton Stringasci Moreira – Administrador de Empresas e Mestre em Sistemas de
Informação. Prof.
da Universidade Anhembi Morumbi nos cursos de Gradução
e MBA. e-mail: nilton@cbsi.com.br